Crescenti attività di cyber-attacchi hanno colpito Israele, orchestrate da gruppi legati a Iran e Hezbollah per influenzare l’opinione pubblica.
Le attività di hacking nel Medio Oriente si dimostrano un terreno dinamico dove gli attori statali e i gruppi terroristici sfruttano il cyberspazio per condurre operazioni di spionaggio, operazioni informative o attività distruttive. Un’analisi eseguita dal Google’s Threat Analysis Group e da Mandiant, parte di Google Cloud, ha rivelato che gruppi cyber con legami con Hamas, Hezbollah e l’Iran hanno adeguato le loro operazioni per partecipare al conflitto in corso, mostrando un focus mirato anche in assenza di componenti cyber nei loro attacchi più tradizionali.
Il contrasto nell’utilizzo di cyber-attacchi tra il conflitto Israele-Hamas e la guerra ancora in corso tra Russia e Ucraina è netto. Sandra Joyce, vice presidente di Mandiant Intelligence, ha sottolineato come nella regione Israele-Gaza non si sia riscontrato un incremento significativo di attività cyber in concomitanza con il conflitto, a differenza di quanto osservato nel contesto russo-ucraino.
Da tempo, l’Iran ha preso di mira Israele e gli Stati Uniti con attività di phishing condotte dal governo, tuttavia, dopo l’attacco di Hamas del 7 ottobre, si è assistito a uno sforzo concentrato per minare il supporto alla guerra tra il pubblico israeliano e l’opinione pubblica mondiale. Le operazioni di disinformazione, incluse le campagne di hack-and-leak, hanno mirato a demoralizzare i cittadini israeliani, indebolire la fiducia nelle organizzazioni nazionali e dipingere in una luce negativa le azioni di Israele.
Un esempio di questo tipo di operazione informativa ha fatto notizia negli Stati Uniti a novembre, quando un gruppo legato all’Iran’s Islamic Revolutionary Guard Corps Cyber-Electronic Command (IRGC-CEC) ha preso di mira dispositivi prodotti in Israele utilizzati in servizi idrici, lasciando messaggi di defacement. Il governo degli Stati Uniti ha risposto sanzionando vari funzionari iraniani coinvolti nell’attacco contro un’utility idrica di Aliquippa, Pennsylvania.
I gruppi cyber evidenziati nella relazione di Google, prevalentemente con connessioni all’Iran, hanno preso di mira non solo Israele, ma anche altri enti nel Medio Oriente, negli Stati Uniti e in Europa. Si è osservato che gruppi legati a Hamas sono stati attivi fino a settembre 2023 senza cambiamenti apprezzabili nell’intensità delle loro azioni sia prima che dopo l’attacco del 7 ottobre.
Uno di questi gruppi, identificato come “Great Rift” e anche come “UNC4453” o “Plaid Rain” da altri analisti, presumibilmente connesso a Hezbollah, ha approfittato dell’aumento dell’interesse per i servizi di emergenza successivamente agli attacchi del 7 ottobre, impersonando servizi israeliani legittimi in trappole di phishing. Inoltre, il gruppo ha creato un sito web fittizio di persone scomparse per indurre i visitatori a scaricare un programma dannoso e un sito per impersonare un ospedale israeliano autentico per distribuire malware attraverso una campagna a tema donazione di sangue.
Questi incidenti si rivelano esempi di campagne di hacking regionali affermate, dimostrando un’elevata adattabilità nell’attività nel plasmare la situazione in corso. Un altro episodio, collegato all’Iran, ha preso di mira civili israeliani che avevano avuto le email compromesse nei precedenti attacchi a organizzazioni israeliane di novembre, diffondendo malware distruttivo camuffato da notifiche del Israel National Cyber Directorate.
Questi esempi illustrano il panorama crescente di attacchi mirati a obiettivi civili, rivelando l’uso strategico del cyberspazio da parte dell’Iran come estensione del campo di battaglia tradizionale. L’operatività e la portata di queste minacce cyber rappresentano quindi un’importante variazione nelle tattiche belliche e nella conduzione del conflitto, con un’enfasi crescente sul coinvolgimento civile.